【摘 要】2018年10月10日,國家市場監(jiān)督管理總局和中國國家標(biāo)準(zhǔn)化管理委員會正式發(fā)布了國家標(biāo)準(zhǔn)GB/T 36637-2018《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險管理指南》。該標(biāo)準(zhǔn)面向我國信息通信技術(shù)(以下簡稱ICT)供應(yīng)鏈安全,旨在提高網(wǎng)絡(luò)運營者ICT供應(yīng)鏈安全管理水平,切實保障我國重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的ICT供應(yīng)鏈安全風(fēng)險。本文主要從標(biāo)準(zhǔn)現(xiàn)狀、標(biāo)準(zhǔn)適用范圍和編制思路、標(biāo)準(zhǔn)解讀3個方面對該標(biāo)準(zhǔn)進行了闡述,使網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購方和供應(yīng)商更好地理解該標(biāo)準(zhǔn),便于網(wǎng)絡(luò)運營者開展ICT供應(yīng)鏈安全風(fēng)險管理。
【關(guān)鍵詞】ICT供應(yīng)鏈 安全風(fēng)險管理 標(biāo)準(zhǔn)
1 引言
隨著信息通信技術(shù)的普及應(yīng)用,加強ICT供應(yīng)鏈的安全可控保障變得至關(guān)重要。目前,世界各國和ICT行業(yè)已普遍認(rèn)識到,相比傳統(tǒng)行業(yè),ICT行業(yè)供應(yīng)鏈更加復(fù)雜,存在安全風(fēng)險的概率更大。加強ICT供應(yīng)鏈安全管理,有利于增強客戶對ICT供應(yīng)鏈以及ICT行業(yè)的安全信任。
與傳統(tǒng)供應(yīng)鏈相比,ICT供應(yīng)鏈具有許多不同的特點:一是ICT供應(yīng)鏈涵蓋ICT產(chǎn)品和服務(wù)的全生命周期,不僅包括傳統(tǒng)供應(yīng)鏈的生產(chǎn)、集成、倉儲、交付等供應(yīng)階段,也包括產(chǎn)品服務(wù)的設(shè)計開發(fā)階段和售后運維階段;二是ICT產(chǎn)品由全球分布的供應(yīng)商開發(fā)、集成或交付,供應(yīng)鏈的全球分布性使得客戶對供應(yīng)鏈的掌握情況和安全風(fēng)險控制能力在下降;三是傳統(tǒng)供應(yīng)鏈主要關(guān)注如何將產(chǎn)品有效地交付給客戶,或者供應(yīng)鏈健壯性的強度,而ICT供應(yīng)鏈安全更關(guān)注是否會有額外的功能注入產(chǎn)品和服務(wù)中,交付的產(chǎn)品和服務(wù)是否與預(yù)期一致等。這些特點使得ICT供應(yīng)鏈比傳統(tǒng)供應(yīng)鏈存在更多的安全風(fēng)險,加強ICT供應(yīng)鏈的安全風(fēng)險管理刻不容緩。
為加強ICT供應(yīng)鏈安全管理,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(簡稱信安標(biāo)委或TC260)啟動了國家標(biāo)準(zhǔn)《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險管理指南》(簡稱《ICT供應(yīng)鏈安全風(fēng)險管理指南》或GB/T 36637-2018)的制定工作。該標(biāo)準(zhǔn)由中國電子技術(shù)標(biāo)準(zhǔn)化研究院牽頭,中科院軟件所、聯(lián)想、華為、螞蟻金服、阿里巴巴、京東、浪潮等18家單位參與起草。該標(biāo)準(zhǔn)于2018年10月10日由國家市場監(jiān)督管理總局和國家標(biāo)準(zhǔn)化管理委員會正式發(fā)布,2019年5月1日開始實施。
2 國內(nèi)外供應(yīng)鏈安全標(biāo)準(zhǔn)現(xiàn)狀
目前,國際供應(yīng)鏈安全標(biāo)準(zhǔn)已漸成體系,而國內(nèi)供應(yīng)鏈安全要求大多分散在多個標(biāo)準(zhǔn)中,GB/T 36637-2018作為我國第一個ICT供應(yīng)鏈安全國家標(biāo)準(zhǔn),標(biāo)志著我國供應(yīng)鏈安全標(biāo)準(zhǔn)正在起步。
2.1 國外主要供應(yīng)鏈安全標(biāo)準(zhǔn)
(1)ISO 28000系列標(biāo)準(zhǔn)
ISO 28000供應(yīng)鏈安全管理體系系列標(biāo)準(zhǔn),是為滿足運輸和物流行業(yè)對共同安全管理標(biāo)準(zhǔn)的需求而提出的,旨在幫助組織建立一個可認(rèn)證的供應(yīng)鏈安全管理體系,適用于涉及采購、制造、倉儲或運輸?shù)裙⿷?yīng)鏈任一環(huán)節(jié)的各類組織。該系列標(biāo)準(zhǔn)主要包括:ISO 28000《供應(yīng)鏈安全管理體系規(guī)范》、ISO 28001《供應(yīng)鏈安全、評估和計劃的最佳實踐——需求和指南》、ISO 28002《供應(yīng)鏈恢復(fù)能力的開發(fā)——要求及使用指南》、ISO 28003《提供審核和認(rèn)證功能的實體的需求》、ISO 28004《ISO28000實施指南》。
(2)ISO/IEC 27036
ISO/IEC 27036《供應(yīng)商關(guān)系的信息安全》是第一部針對ICT供應(yīng)鏈安全的國際標(biāo)準(zhǔn),屬于ISO/IEC 27000信息安全管理體系標(biāo)準(zhǔn),其針對客戶和供應(yīng)商之間的購買與供應(yīng)關(guān)系(即供應(yīng)商關(guān)系),規(guī)定了供應(yīng)商關(guān)系信息安全管理的框架,適用于采購方和供應(yīng)商對供應(yīng)商關(guān)系進行信息安全管理。該標(biāo)準(zhǔn)包括4個部分:ISO/IEC 27036-1《第一部分:概述和概念》、ISO/IEC 27036-2《第二部分:通用要求》、ISO/IEC 27036-3《第三部分:ICT供應(yīng)鏈安全指南》、ISO/IEC 27036-4《第四部分:云服務(wù)安全指南》。
(3)ISO/IEC 22043
ISO/IEC 22043《開放可信技術(shù)供應(yīng)商標(biāo)準(zhǔn)——減少被惡意污染和偽冒的產(chǎn)品》,原是國際開放組織(The Open Group)聯(lián)合IBM、惠普、微軟、華為、思科等會員企業(yè),共同編制的一項行業(yè)聯(lián)盟標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)針對采購ICT商用現(xiàn)貨面臨的產(chǎn)品被惡意污染、被偽冒兩大威脅,從產(chǎn)品開發(fā)工程、安全開發(fā)工程、供應(yīng)鏈安全3個方面,提出了一個保障產(chǎn)品開發(fā)過程安全和供應(yīng)過程完整性的最佳實踐。該標(biāo)準(zhǔn)也可用于對供應(yīng)商在降低被惡意污染和偽冒產(chǎn)品風(fēng)險方面進行認(rèn)證。
(4)NIST SP800-161
NIST SP800-161《聯(lián)邦信息系統(tǒng)和組織供應(yīng)鏈風(fēng)險管理方法》,用于指導(dǎo)美國聯(lián)邦政府機構(gòu)管理ICT供應(yīng)鏈的安全風(fēng)險,旨在指導(dǎo)聯(lián)邦部門和機構(gòu)識別、評估和減輕ICT供應(yīng)鏈風(fēng)險。NIST SP800-161分析了聯(lián)邦機構(gòu)的ICT供應(yīng)鏈結(jié)構(gòu);基于NIST SP800-39的組織風(fēng)險管理過程,給出了供應(yīng)鏈風(fēng)險管理的過程和活動;基于NIST SP800-53給出ICT供應(yīng)鏈的安全控制措施集合,新增了來源安全控制族,可供組織根據(jù)ICT需求定制裁剪。
2.2 國內(nèi)主要供應(yīng)鏈安全標(biāo)準(zhǔn)
GB/T 32921-2016《信息安全技術(shù) 信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則》從供應(yīng)商角度入手,規(guī)定了信息技術(shù)產(chǎn)品供應(yīng)方的行為安全準(zhǔn)則。其他已發(fā)布的網(wǎng)絡(luò)安全標(biāo)準(zhǔn),有的含有供應(yīng)鏈安全要求,如GB/T 31168-2014《信息安全技術(shù) 云計算服務(wù)安全能力要求》提出“系統(tǒng)開發(fā)與供應(yīng)鏈安全”,對云服務(wù)商的供應(yīng)鏈從采購過程、外部服務(wù)提供商、開發(fā)商、防篡改、組件真實性、不被支持的系統(tǒng)組件、供應(yīng)鏈保護等方面提出了安全要求。新修訂的GB/T 22239-2019《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》在通用要求里,提出了產(chǎn)品采購與使用、外包軟件開發(fā)、服務(wù)供應(yīng)商選擇等供應(yīng)鏈安全要求。GB/T 29245-2012《信息安全技術(shù) 政府部門信息安全管理基本要求》在日常信息安全管理中也規(guī)定了“采購管理”和“外包管理”要求,用于指導(dǎo)各級政府部門的信息安全管理工作。
在供應(yīng)鏈風(fēng)險管理方面,我國風(fēng)險管理標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC 310)發(fā)布的GB/T 24420-2009《供應(yīng)鏈風(fēng)險管理指南》,給出了供應(yīng)鏈風(fēng)險管理的通用指南和航空工業(yè)的風(fēng)險評估示例,但主要針對傳統(tǒng)物流供應(yīng)鏈,未全面考慮ICT供應(yīng)鏈的網(wǎng)絡(luò)安全風(fēng)險。而GB/T 36637-2018《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險管理指南》作為我國第一個ICT供應(yīng)鏈安全國家標(biāo)準(zhǔn),彌補了ICT供應(yīng)鏈安全風(fēng)險管理的空白。
3 標(biāo)準(zhǔn)適用范圍和編制思路
《ICT供應(yīng)鏈安全風(fēng)險管理指南》規(guī)定了ICT供應(yīng)鏈的安全風(fēng)險管理過程和控制措施,適用于重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的ICT供方和運營者對ICT供應(yīng)鏈進行安全風(fēng)險管理,也適用于指導(dǎo)ICT產(chǎn)品和服務(wù)的供方和需方加強供應(yīng)鏈安全管理,同時還可供第三方測評機構(gòu)對ICT供應(yīng)鏈進行安全風(fēng)險評估時參考。
該標(biāo)準(zhǔn)編制時成立了包含需方和軟件、硬件、服務(wù)等多類供方的編制組,通過深入研究國內(nèi)外供應(yīng)鏈安全相關(guān)政策和標(biāo)準(zhǔn),廣泛調(diào)研國內(nèi)軟件、硬件和服務(wù)等不同類型機構(gòu)的供應(yīng)鏈安全風(fēng)險和管理實踐,在多輪意見反饋及企業(yè)試用驗證后形成報批稿進行發(fā)布。編制工作中主要遵循以下原則。
一是以國內(nèi)外供應(yīng)鏈安全相關(guān)標(biāo)準(zhǔn)為基礎(chǔ)!禝CT供應(yīng)鏈安全風(fēng)險管理指南》以國內(nèi)供應(yīng)鏈安全相關(guān)標(biāo)準(zhǔn)要求為基礎(chǔ),充分借鑒國際先進的ICT供應(yīng)鏈安全風(fēng)險管理方法。其中,風(fēng)險管理過程以國內(nèi)的供應(yīng)鏈管理、信息安全風(fēng)險管理類標(biāo)準(zhǔn)為基礎(chǔ),如ISO/IEC 27005(GB/T 31722)、GB/T 24420等;安全控制措施以國內(nèi)外供應(yīng)鏈相關(guān)安全措施為基礎(chǔ),如GB/T 22239、GB/T 31168、ISO/IEC 27002、ISO/IEC 27036、NIST SP800-161、NIST SP800-53。
二是支持多樣的ICT產(chǎn)品和服務(wù)供應(yīng)鏈。由于ICT產(chǎn)品和服務(wù)類型多樣,軟件、硬件、系統(tǒng)、服務(wù)的供應(yīng)鏈細(xì)節(jié)可能存在不同,因此本標(biāo)準(zhǔn)在編制中盡量考慮到多種類型產(chǎn)品和服務(wù),從軟件、硬件、服務(wù)、數(shù)據(jù)、客戶幾個角度梳理供應(yīng)鏈的安全風(fēng)險,安全風(fēng)險管理過程盡量采用通用、得到認(rèn)可的過程步驟,供應(yīng)鏈安全控制措施則提供了一個控制措施集合,ICT采購方或供應(yīng)商可根據(jù)應(yīng)用環(huán)境和安全需求進行剪裁。
三是考慮可操作性和實用性。為了確保標(biāo)準(zhǔn)的可操作性和實用性,標(biāo)準(zhǔn)編制組廣泛吸收了在國內(nèi)信息通信技術(shù)產(chǎn)品和服務(wù)市場的主流軟件、硬件、服務(wù)廠商作為標(biāo)準(zhǔn)編制組成員。
4 標(biāo)準(zhǔn)內(nèi)容解讀
《ICT供應(yīng)鏈安全風(fēng)險管理指南》標(biāo)準(zhǔn),主要包括術(shù)語定義、ICT供應(yīng)鏈安全風(fēng)險管理過程、安全控制措施、ICT供應(yīng)鏈概述、ICT供應(yīng)鏈安全威脅、ICT供應(yīng)鏈安全脆弱性等內(nèi)容。
4.1 ICT供應(yīng)鏈
標(biāo)準(zhǔn)給出了對ICT供應(yīng)鏈的界定和理解,包括在術(shù)語中定義了ICT供應(yīng)鏈、供應(yīng)關(guān)系、ICT供應(yīng)鏈生命周期、ICT供應(yīng)鏈基礎(chǔ)設(shè)施等概念,以及在附錄A提出了ICT供應(yīng)鏈結(jié)構(gòu)、特點、范圍和供應(yīng)商類型等內(nèi)容。
ICT供應(yīng)鏈即網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)鏈,是指為滿足供應(yīng)關(guān)系通過資源和過程將需方、供方相互連接的網(wǎng)鏈結(jié)構(gòu),可用于將ICT產(chǎn)品和服務(wù)提供給需方。ICT供應(yīng)鏈結(jié)構(gòu)如圖1所示。
供應(yīng)鏈通常包括需方和供應(yīng)商(供方)兩種角色,需方與供應(yīng)商之間存在供應(yīng)關(guān)系。在供應(yīng)鏈中,一個組織可能既是上游組織的需方,也是下游組織的供應(yīng)方,與其上游、下游均存在供應(yīng)商關(guān)系。
相對于傳統(tǒng)領(lǐng)域的實體供應(yīng)鏈,ICT供應(yīng)鏈具有全球分布性、供應(yīng)商多樣性、產(chǎn)品服務(wù)復(fù)雜性、全生命周期覆蓋性等特點。ICT供應(yīng)鏈生命周期是ICT產(chǎn)品和服務(wù)從無到有直至廢棄的全生命周期涉及的供應(yīng)鏈活動,通常以ICT產(chǎn)品和服務(wù)的設(shè)計為起點,經(jīng)過開發(fā)、生產(chǎn)、集成、倉儲、交付等環(huán)節(jié)將產(chǎn)品和服務(wù)交付給需方,并對產(chǎn)品和服務(wù)進行運維、售后服務(wù)等直至其廢棄。
雖然從廣義來說,ICT供應(yīng)鏈的范圍包含產(chǎn)品、系統(tǒng)或服務(wù)中所有部件在其生命周期各環(huán)節(jié)中涉及的所有供應(yīng)商,但是考慮到組織實踐和管理成本,需方可根據(jù)組織的業(yè)務(wù)目標(biāo)自行劃分ICT供應(yīng)鏈的管理范圍,對其組織范圍內(nèi)的ICT產(chǎn)品、系統(tǒng)或服務(wù)的創(chuàng)建、維護、終止等全生命周期過程涉及的供應(yīng)商關(guān)系進行管理。
圖1 ICT供應(yīng)鏈結(jié)構(gòu)示意圖
4.2 ICT供應(yīng)鏈安全目標(biāo)和安全風(fēng)險
標(biāo)準(zhǔn)第五章給出了ICT供應(yīng)鏈安全目標(biāo),主要表現(xiàn)在:一是完整性。確保在ICT供應(yīng)鏈所有環(huán)節(jié)中,網(wǎng)絡(luò)產(chǎn)品和服務(wù)不被植入、篡改、替換和偽造;二是保密性。確保ICT供應(yīng)鏈上傳遞的敏感信息不被未授權(quán)泄露;三是可用性。確保ICT供應(yīng)鏈能夠正常供應(yīng),甚至在部分失效時仍能保持連續(xù)供應(yīng);四是可控性。確保采購方和供應(yīng)商對ICT產(chǎn)品、服務(wù)或供應(yīng)鏈的控制能力,例如一旦ICT供應(yīng)鏈發(fā)生問題可進行追溯,保障采購方對供應(yīng)鏈信息的透明度等。
目前,ICT供應(yīng)鏈已成為網(wǎng)絡(luò)攻擊的重要渠道和對象,可能面臨多種安全威脅。標(biāo)準(zhǔn)附錄B列出了主要威脅,主要涉及惡意篡改、假冒偽劣、供應(yīng)中斷、信息泄露、違規(guī)操作和其他威脅。同時,ICT供應(yīng)鏈也可能存在許多安全脆弱性,如附錄C所示,包括設(shè)計研發(fā)階段的安全隱患、供應(yīng)階段的安全隱患、服務(wù)運維階段的安全隱患、ICT供應(yīng)鏈安全管理的安全隱患、ICT供應(yīng)鏈信息系統(tǒng)的安全隱患和供應(yīng)鏈物理安全隱患。
4.3 ICT供應(yīng)鏈安全風(fēng)險管理過程
標(biāo)準(zhǔn)第六章給出了ICT供應(yīng)鏈風(fēng)險管理過程,具體編制時主要基于GB/T 31722的信息安全風(fēng)險管理框架,參考GB/T 24420《供應(yīng)鏈風(fēng)險管理指南》和NIST SP 800-161《聯(lián)邦信息系統(tǒng)和組織供應(yīng)鏈風(fēng)險管理方法》等標(biāo)準(zhǔn),細(xì)化了ICT供應(yīng)鏈安全風(fēng)險管理的步驟和實施細(xì)則。
組織可針對ICT供應(yīng)鏈可能面臨的安全風(fēng)險,建立ICT供應(yīng)鏈安全風(fēng)險管理過程。ICT供應(yīng)鏈安全風(fēng)險管理過程由背景分析、風(fēng)險評估、風(fēng)險處置、風(fēng)險監(jiān)督和檢查、風(fēng)險溝通和記錄5個步驟組成,如圖2所示。組織宜按照GB/T 31722-2015的規(guī)定建立ICT供應(yīng)鏈風(fēng)險管理過程,也可將ICT供應(yīng)鏈安全風(fēng)險管理分散到對ICT供應(yīng)鏈生命周期各環(huán)節(jié)、ICT供應(yīng)鏈基礎(chǔ)設(shè)施、外部供應(yīng)商的風(fēng)險管理活動中。
圖2 ICT供應(yīng)鏈安全風(fēng)險管理過程
4.4 ICT供應(yīng)鏈安全風(fēng)險控制措施
標(biāo)準(zhǔn)第七章提供了可用于應(yīng)對ICT供應(yīng)鏈安全風(fēng)險的安全措施,具體編制時參考了GB/T 2208、NIST SP800-161、ISO/IEC 22043及現(xiàn)有國家標(biāo)準(zhǔn)中供應(yīng)鏈相關(guān)安全要求進行編制,給出了ICT供應(yīng)鏈安全風(fēng)險控制措施集合,供ICT采購方或供應(yīng)方根據(jù)自身存在的安全風(fēng)險和組織特點篩選使用。
組織可根據(jù)組織的特點和已識別的安全風(fēng)險,選擇實施相應(yīng)的技術(shù)安全措施和管理安全措施,以降低ICT供應(yīng)鏈安全風(fēng)險,提高組織的ICT供應(yīng)鏈安全保障能力。
技術(shù)安全措施包括物理與環(huán)境安全、系統(tǒng)與通信安全、訪問控制、標(biāo)識與鑒別、供應(yīng)鏈完整性保護和可追溯性幾個方面;管理安全措施涉及制度和人員管理、供應(yīng)鏈生命周期管理、采購?fù)獍凸⿷?yīng)商管理。
此外,ICT供應(yīng)鏈基礎(chǔ)設(shè)施通常作為ICT供應(yīng)鏈安全的主要保護對象,是指由組織內(nèi)的硬件、軟件和制度流程等構(gòu)成的集合,用于構(gòu)建產(chǎn)品和服務(wù)的設(shè)計、開發(fā)、生產(chǎn)、集成、倉儲、交付、運維、廢棄等ICT供應(yīng)鏈生命周期的環(huán)境。ICT供應(yīng)鏈基礎(chǔ)設(shè)施,主要包括組織內(nèi)部支撐ICT供應(yīng)鏈生命周期的信息系統(tǒng)和物理設(shè)施,如供應(yīng)鏈管理信息系統(tǒng)、采購管理系統(tǒng)、軟件開發(fā)環(huán)境、零部件生產(chǎn)車間、產(chǎn)品倉庫等。
5 結(jié)語
ICT供應(yīng)鏈安全已成為世界各國重點關(guān)注的問題,GB∕T 36637-2018《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險管理指南》國家標(biāo)準(zhǔn)的發(fā)布,彌補了我國在ICT供應(yīng)鏈安全領(lǐng)域標(biāo)準(zhǔn)缺失的問題,為提高重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的ICT供應(yīng)鏈安全管理水平提供了有力支撐和技術(shù)基礎(chǔ)。
參考文獻
[1] GB/T 36637-2018《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險管理指南》[S].